Bericht 1 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | Ronald Beuker | Datum | : | 02-09-2006 |
| Aan | : | Allen | MsgID | : | 3068.1 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
(Bron:
http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html)
Beste Forumleden,
Dit eenvoudig programmaatje van beveiligingsfirma Sophos controleert je pc op rootkits. Voor de doorsnee gebruiker is het moeilijk om zelf dergelijke malafide toepassingen op het spoor te komen. Het kan dus zeker geen kwaad om Anti-Rootkit eens los te laten op je computer!
Groeten,
Ronald (Sysop)
| Bijlagen : 
sarsfx.zip
1127KB (2MB) |
Bericht 2 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | Peter | Datum | : | 03-09-2006 | | Aan | : | Ronald Beuker | MsgID | : | 3068.2 | | Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Hoi Ronald, Een andere rootkit scanner vind je bij SysInternals. groeten, Peter |
Bericht 3 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | paulu | Datum | : | 16-10-2006 |
| Aan | : | Peter | MsgID | : | 3068.3 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Hoi,
De vraag is wel wat te doen met de dingen die ie vindt,de kans dat je systeem dan niet meer goed werkt is aanwezig.Ik vind het moeilijk om in te schatten of het nu echt ernstig is,ook na lezen van de uitleg bij sysinternals.Laat het gewoon lekker staan die paar dingen die ie meldt.
Groetjes,Paul
Bericht 4 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | Peter | Datum | : | 17-10-2006 |
| Aan | : | paulu | MsgID | : | 3068.4 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Hoi Paulu,
>>De vraag is wel wat te doen met de dingen die ie vindt<<
Bezint eer ge begint. Eerst goed googlen en navragen :-)
Peter
Bericht 5 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 17-10-2006 |
| Aan | : | paulu | MsgID | : | 3068.5 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Hoi Paul,
>> Laat het gewoon lekker staan die paar dingen die ie meldt. <<Of je vraagt het eerst even hier. Natuurlijk mag je een rootkit niet zomaar gaan wegknikkeren, kan een systeem naar de knoppen helpen. Maar een rootkit gewoon laten staan is mogelijk nog ernstiger. Er is natuurlijk een reden waarom de maker van die rotzooi zó ver gegaan is dat hij het mbv. een rootkit wilde verbergen. Er zitten echte rotzakken tussen.
Die sysinternal rootkit revealer (en blacklight van sophos) zijn prima tools om deze nieuwste pc terreur boven tafel te krijgen. En als je twijfelt wat je met de meldingen aanmoet is er dit forum voor advies.
Michel Uphoff (NLcomputer)
Homepage
Bericht 6 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | paulu | Datum | : | 17-10-2006 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3068.6 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Oke Michel,
Deze meldingen kreeg ik met dat programmatje,het staat helaas wat door elkaar maar hoop dat je het toch kan begrijpen.Misschien kun je of iemand anders zeggen of dit iets is om je druk om te maken.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 16-10-2006 20:17 0 bytes Key name contains embedded nulls (*)
D:\Documents and Settings\Paul\Local Settings\Temporary Internet Files\Content.IE5\CGX4PH9F\search[23].htm 16-10-2006 22:53 14 bytes Hidden from Windows API.
D:\System Volume Information\_restore{1695DAC5-4921-4567-B887-259B44AEF608}\RP55\A0014400.lnk 16-10-2006 20:17 1.91 KB Visible in directory index, but not Windows API or MFT.
D:\WINDOWS\Prefetch\OOCCCTRL.EXE-180A9896.pf 16-10-2006 22:55 19.93 KB Visible in directory index, but not Windows API or MFT.
E: 1-1-1601 2:00 0 bytes Error mounting volume
F: 1-1-1601 2:00 0 bytes Error mounting volume
G: 1-1-1601 2:00 0 bytes Error mounting volume
H: 1-1-1601 2:00 0 bytes Error mounting volume
I: 1-1-1601 2:00 0 bytes Error mounting volumeDie stations e,f,g,h,i zijn partities op een andere schijf.
Moet wel zeggen dat ik pas wat trojans heb gevonden op m'n schijf,die bleken wel van laag risico.Als ik een programma installeer dan doe ik meestal de antivirusscanner uit en dan kan er toch iets doorkomen dus.
Groetjes,Paul
Ps dat Sophos anti-rootkit geeft twee meldingen:
Area: Windows registry
Description: Hidden registry key
Location: \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012006060520060612
Removable: No
Notes: (no more detail available)
Area: Windows registry
Description: Hidden registry key
Location: \HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012006063020060701
Removable: No
Notes: (no more detail available)
Bericht 7 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 17-10-2006 |
| Aan | : | paulu | MsgID | : | 3068.7 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Dag Paul,>> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 16-10-2006 20:17 0 bytes Key name contains embedded nulls (*) <<Is niet van belang, komt vaker voor.
>> D:\Documents and Settings\Paul\Local Settings\Temporary Internet Files\Content.IE5\CGX4PH9F\search[23].htm 16-10-2006 22:53 14 bytes Hidden from Windows API. <<Lijkt mij een restje, 14 bytes kan nooit veel zijn, maar zekerheidshalve kan je even kijken of leegmaken van de internet cache dit ding weghaalt.
>> D:\System Volume Information\_restore{1695DAC5-4921-4567-B887-259B44AEF608}\RP55\A0014400.lnk 16-10-2006 20:17 1.91 KB Visible in directory index, but not Windows API or MFT. <<Schakel tijdelijk systeem herstel uit, herstart de pc en zet systeem herstel dan weer aan. Dan zou dit ding verdwenen moeten zijn.
>> D:\WINDOWS\Prefetch\OOCCCTRL.EXE-180A9896.pf 16-10-2006 22:55 19.93 KB Visible in directory index, but not Windows API or MFT. <<Alle programma's afsluiten, de map \windows\prefetch verwijderen, en onder windows weer een nieuwe lege prefetch map maken zou dit ding weg moeten kunnen krijgen. Had je O&O clevercache ooit geïnstalleerd? Want daar zou dit ding vandaan moeten komen, en dan lijkt het mij geen rootkit maar een schijfprobleempje. In ieder geval kan weghalen van Prefetch en weer aanmaken van een lege map geen kwaad.
>> Description: Hidden registry key (2x). <<Zou ik gewoon zo laten.
De virusscanner standaard uitschakelen als je een programma installeert is geen goed plan. Een goede virusscanner stoort niet. Sommige slecht geschreven scanners en vooral de wat oudere- konden een installatie wel eens verstoren, maar nogmaals een goede moderne scanner doet dat niet. Juist het installeren van "een programma" kan het begin zijn van een virusinfectie.
Michel Uphoff
Bericht 8 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | paulu | Datum | : | 17-10-2006 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3068.8 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Bedankt Michel,
Ja, ik had dat O&O clevercache pas geinstalleerd(stond op cd-rom bij tijdschrift),heb m'n systeem net met systeem hersteld naar voor de installatie daarvan want ik kreeg net wat vreemde problemen.Ik had messeneger verwijdert en wat uit de windows setup geinstallerd en dat O&O uitgeschakeld bij opstarten en toen kreeg ik na booten een soort windowswaarschuwingsgeluid uit de speakers en er werd twee keer intensief gezocht naar m'n floppydrive in de fase dat desktop zichtbaar was.Ook kwamen er geen icoontjes(normaal5) meer in de systemtray behalve die van avast.Heel vreemd.
Zie dat dat systeemherstel grondig alles hersteld en niet alleen het register,ik had nl net de vista-transformationkit eraf gehaald en die staat er nu weer op.
Vraag me nu wel af of dat systeem herstel nu ook m'n schijf C hesrteld,daarop staat m'n windows98.Die schijf had ik nog wel aangevinkt laten staan.Zou die dan m'n emails enzo herstellen zodat ik recente kwijt ben?En wat doet ie dan met programma's die ziijn verwijdert op C en het register?Ga zo eens kijken in win98........
En kan nog wel eens scannen met die anti-rootkit nu.Merci voor de uitleg.
Paul
Ps met nu scannen (na systeemherstel) zijn al die eerdere uitslagen weg en alleen nog die e,f,g,h schijfdingen
Bericht 9 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 17-10-2006 |
| Aan | : | paulu | MsgID | : | 3068.9 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Hoi Paul,
>> Zie dat dat systeemherstel grondig alles hersteld <<Als je het maar niet verwart met een backup, want systeemherstel zet lang niet alles terug.
De volgende zaken worden door systeemhestel niet terug gezet:
Alle "gebruikers" bestanden zoals documenten, mail, foto's e.d.
Geen programma's die in Program Files staan, dat is dus zo ongeveer alles wat geen onderdeel van Windows, of een uitbreiding/aanvulling ervan is.
Verder houdt systeemherstel geen rekening met na het laatste herstelpunt geïnstalleerde software, zodat herstellen kan betekenen dat die software het niet meer doet (met soms vervelende gevolgen).
Wat wel wordt teruggezet is het vorige register en de inhoud van Windows en Windows system32. Inclusief virussen en dergelijke die zich bij voorkeur in die mappen ophouden.
Systeemherstel doet wat de naam al zegt: Het tracht je systeem weer in de lucht te krijgen na een probleem, meer doet het niet.
Je voelt het waarschijnlijk al aankomen: Bij mij staat systeemherstel uit. Ik maak dagelijks backup's van de gebruikersbestanden en wekelijks ghost disk images voor noodherstel.
Michel Uphoff (NLcomputer)
Homepage
Bericht 10 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | paulu | Datum | : | 18-10-2006 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3068.10 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Hoi Michel,
Aan backuppen ben ik nog niet toe gekomen op deze computer.Vroeger deed ik het met nero maar die kopieerde de hele schijf (en kon alleen maar alles terugzetten),maar misschien is dat met ghost ook wel zo maar die kan wel geloof ik comprimeren waardoor je niet lege ruimte hoeft te kopieren.
Je zult wel gemerkt hebben dat ik liefst alles met gratis software doe dus dat ghost is niet een optie voor mij.
| [size=-1]Berichten in discussie : 12Discussie bekeken : 7584Discussie gestart door : Discussie gestart op : 02-09-2006 20:58[/size] |
[/t]
Bericht 11 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 18-10-2006 |
| Aan | : | paulu | MsgID | : | 3068.11 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Hoi Paul,
>> Heb jij die dingen wel eens geprobeerd? <<Jazeker. Er zijn een paar mogelijkheden om "van buiten af" een corrupte XP te repareren, of op zijn minst de er in aanwezige gebruikersbestanden veilig te stellen. Natuurlijk is een defecte harddisk een doodgelopen weg, zonder backup ben je dan gewoon alles kwijt.
Je kan bijvoorbeeld met een XP cd starten en de Recovery console starten. Dat is een uitermate gebruiksonvriendelijk programma waarmee je kan proberen een defecte XP te repareren, of op een zeer arbeidsintensieve manier kan kijken wat je nog naag een ander medium kan kopiëren.
Je kan ook een bootable cd maken voor XP. Zelf heb ik daar drie jaar geleden een versie die ik "XP on CD" noem voor gemaakt. Met het programma PE builder van Bart Lagerweij (BartPe) is het namelijk mogelijk een mini XP te bouwen die vanaf CD kan worden gestart. Aangezien een goed gemaakte build ook NTFS ondersteuning, netwerktoegang, bestandbeheer en schijfreparatie omvat, kan je er veel mee. Ik heb er menige gecrashde computer mee gerepareerd of de userdata veilig gesteld.
Die UBCD4Win die jij bedoelt is ook op BartPe gebaseerd.
Michel Uphoff (NLcomputer)
Homepage
Bericht 12 van 12NL Computer Forum ~ Computerbeveiligin g | Van | : | paulu | Datum | : | 20-10-2006 |
| Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3068.12 |
| Onderwerp | : | Sophos Anti-Rootkit 1.1 | Forum | : | ws-nlcomputer |
Hoi Michel,
Ik heb net je Xptips gevonden bij de bestanden en ik kan onderschrijven wat je zegd over die `vreselijk handige snelstartbar`.(links op de toolbar)Had hem nl ook zelf pas gevonden,dacht eerst dat ie er niet opzat.Kan ik weer snel naar m'n bureaublad enzo schakelen.
Had verder ook wat services uitgezet (vanuit je adviezen) maar door systeemherstel toepassen moet ik dat nu weer overnieuw gaan doen.
Groet,Paul
